Guide pratique : activer l’authentification à deux facteurs

L'authentification à deux facteurs (ou « 2FA ») est un moyen de rendre vos comptes en ligne plus sécurisés en ajoutant une exigence de preuve supplémentaire (« facteurs ») à côté de votre mot de passe lorsque vous vous connectez. Il peut s'agir de quelque chose que vous connaissez (comme un mot de passe ou un code PIN), de quelque chose que vous possédez (comme une clé de sécurité ou un téléphone portable) ou de quelque chose qui vous est attaché ou inséparable (comme votre empreinte digitale ou votre visage).

Vous utilisez probablement déjà la 2FA dans certaines parties de votre vie. Lorsque vous utilisez un distributeur automatique pour retirer de l'argent, vous devez avoir à la fois votre carte bancaire physique (quelque chose que vous avez) et votre code PIN (quelque chose que vous connaissez). 2FA pour les services en ligne utilise la même logique de base.

Comment fonctionne la 2FA en ligne ? anchor link

De nombreux services en ligne, notamment Facebook (ainsi qu'Instagram et WhatsApp), Apple, Google, X, Reddit, WeChat, Telegram et TikTok, proposent le 2FA comme alternative à l'authentification par mot de passe uniquement. Une fois que vous l'avez activé, vous serez invité à saisir un mot de passe et une méthode d'authentification secondaire.

Cette méthode secondaire peut prendre la forme d'un message SMS, d'un code rotatif généré par une application d'authentification, d'une notification push ou d'un périphérique USB (appelé clé de sécurité).

Une application d’authentification génère des codes rotatifs à six chiffres spécifiques à chaque site Web sur lequel vous vous êtes inscrit. De nombreuses entreprises proposent des applications d'authentification mobile gratuites, comme Google Authenticator et Authy. Certains gestionnaires de mots de passe fonctionnent également comme une application d’authentification, il n’y a donc aucune raison pour que vous deviez en payer un. Les applications 2FA utilisent généralement des mots de passe à usage unique (TOTP), des mots de passe numériques uniques générés par un algorithme. Cela signifie qu’ils sont à usage unique et valables seulement pendant une courte période. En fait, la plupart des applications 2FA affichent un compte à rebours, généralement de 30 secondes, indiquant le moment où le code va changer. Dans ces cas-là, le deuxième facteur est votre téléphone portable, quelque chose que vous possédez (normalement).

Vous pouvez également rencontrer le « 2FA basé sur les notifications push », ce qui est courant chez les employeurs et les services comme Duo ou Okta, mais vous l'avez peut-être déjà utilisé avec un compte Google, Apple ou Microsoft. Il est également populaire auprès des services de jeux, comme Steam et Blizzard. Avec le 2FA basé sur push, le service peut envoyer une invite à l'un de vos appareils lors de la connexion. Cette invite indiquera que quelqu'un (peut-être vous) tente de se connecter, ainsi qu'un emplacement estimé pour la tentative de connexion. Vous pouvez alors approuver ou refuser la tentative.

Un deuxième facteur peut également être un autre appareil physique que vous achetez séparément, appelé clé de sécurité. Les clés de sécurité se branchent sur votre ordinateur ou votre téléphone via USB, ou se connectent aux téléphones sans fil avec NFC. Comme les applications mentionnées ci-dessus, vous les enregistrez sur un site Web et vous ne pouvez pas vous connecter à ce site Web sans fournir la clé. Les clés de sécurité constituent la forme la plus puissante de 2FA, mais ne sont pas aussi largement prises en charge sur les sites Web que les autres options.

Une fois que vous avez choisi d'utiliser 2FA, vous devrez saisir votre mot de passe, puis le deuxième facteur (le code envoyé par SMS ou généré dans votre application 2FA, ou une clé de sécurité) pour vous connecter à votre compte.

Pourquoi devrais-je activer 2FA ? anchor link

2FA vous offre une plus grande sécurité de compte. Même si quelqu'un mettait la main sur votre mot de passe, il ne pourrait pas accéder à votre compte à moins de disposer également de votre téléphone portable ou d'un autre moyen d'authentification secondaire. Ceci est particulièrement important puisque les violations de données impliquant les mots de passe des utilisateurs sont courantes. Les sites Web sont constamment piratés et révèlent le mot de passe et le nom d'utilisateur d'une personne. 2FA n’est pas une alternative à l’utilisation de mots de passe forts et uniques, mais il peut fournir une petite couche de sécurité supplémentaire au cas où quelqu’un aurait trouvé l’or en connectant votre nom d’utilisateur et votre mot de passe à un autre site.

De plus, la clé de sécurité 2FA et l'authentification par mot de passe sont efficacement résistantes au phishing, car la clé ne fonctionnera pas sur un site pour lequel elle n'est pas enregistrée. Mais ce n’est pas le cas des autres formes de 2FA, comme les codes générés dans les applications ou à partir de messages SMS. Ces dernières années, les attaques de phishing sont devenues suffisamment sophistiquées pour demander des codes 2FA, contre lesquels les SMS et les applications d'authentification n'ont aucune protection.

Y a-t-il des inconvénients à utiliser la 2FA ? anchor link

Bien que 2FA offre un moyen d’authentification plus sécurisé, il existe un risque accru de blocage de votre compte. Par exemple, si vous perdez votre téléphone, changez de numéro de téléphone ou voyagez dans un pays sans activer l'itinérance, vous risquez de perdre l'accès à vos comptes. Cela est également vrai pour les clés de sécurité, qui peuvent être plus faciles à perdre qu’un téléphone.

De nombreux services 2FA fournissent une courte liste de codes de « sauvegarde » ou de « récupération » à usage unique. Chaque code fonctionne une seule fois pour vous connecter à votre compte, et n'est plus utilisable par la suite. Si vous craignez de perdre l'accès à votre téléphone ou à un autre dispositif d'authentification, imprimez et emportez ces codes avec vous. Ils fonctionneront toujours comme « quelque chose que vous avez », à condition que vous n'en fassiez qu'une seule copie et que vous la gardiez à proximité. N'oubliez pas de conserver les codes en sécurité et de vous assurer que personne d'autre ne les voit ou n'y ait accès à aucun moment. Si vous utilisez ou perdez vos codes de sauvegarde, vous pourrez générer une nouvelle liste la prochaine fois que vous pourrez vous connecter à votre compte.

Certaines applications mobiles 2FA résolvent ce problème en offrant la possibilité de sauvegarder les informations qui génèrent les codes à usage unique. Ainsi, si vous perdez votre téléphone, vous pouvez effectuer une sauvegarde. Pour la plupart des gens, sauvegarder leurs codes d’authentification est une bonne idée. Mais vous préférerez peut-être ne pas sauvegarder les codes d'authentification si vous vous inquiétez de la sécurité du service sur lequel vous les sauvegardez et si vous êtes sûr de ne pas perdre ou casser votre téléphone. Si vous les activez, consultez la documentation de l'application pour vous assurer qu'elle utilise le cryptage de bout en bout pour ces sauvegardes.

SMS 2FA est mieux que rien, mais présente des problèmes potentiels car la messagerie SMS n'est pas très sécurisée. Il est possible pour un attaquant sophistiqué ayant accès au réseau téléphonique (comme une agence de renseignement ou une opération du crime organisé) d'intercepter et d'utiliser les codes envoyés par SMS. Il y a également eu des cas où un attaquant moins sophistiqué (comme un individu) a réussi à transférer des appels ou des messages texte destinés à un numéro vers son propre numéro, ou a accédé aux services d'une compagnie de téléphone qui affichent des messages texte envoyés à un numéro de téléphone sans avoir besoin de le faire. avoir le téléphone. L'échange de carte SIM est également un problème potentiel, qui se produit lorsque quelqu'un transfère votre numéro de téléphone vers un appareil qu'il contrôle, en trompant votre opérateur de téléphonie mobile (ou en étant un initié). Une fois cela fait, ils peuvent accéder à tous les codes SMS 2FA, ou pire, réinitialiser le mot de passe par SMS. La Federal Trade Commission a tenté d’éloigner les entreprises du 2FA basé sur SMS.

Lorsque cela est possible, choisissez d'utiliser une application d'authentification, un mot de passe ou une clé de sécurité au lieu de SMS. Vous devriez également vérifier auprès de votre opérateur de téléphonie mobile s'il propose des outils de protection contre l'échange de carte SIM . Il peut s'agir d'un code PIN ou d'un mot de passe verbal que vous devez fournir lorsque vous appelez le service client pour apporter des modifications.

De plus, l’utilisation du 2FA par SMS signifie que vous transmettrez peut-être plus d’informations à un service que ce avec quoi vous êtes à l’aise. Supposons que vous utilisiez TikTok et que vous vous inscriviez en utilisant un pseudonyme . Même si vous évitez soigneusement de donner vos informations d'identification à TikTok, et même si vous accédez au service uniquement via Tor ou un VPN , si vous activez SMS 2FA, TikTok aura nécessairement un enregistrement de votre numéro de mobile. Cela signifie que, si un tribunal l’y oblige, TikTok peut associer votre compte à vous via votre numéro de téléphone. Cela ne pose peut-être pas de problème pour vous, surtout si vous utilisez déjà votre nom légal sur un service donné, mais si le maintien de votre anonymat est important, réfléchissez-y à deux fois avant d'utiliser SMS 2FA.

Même après avoir activé 2FA, assurez-vous de toujours utiliser un gestionnaire de mots de passe pour créer des mots de passe forts et uniques. Consultez notre guide de création de mots de passe forts pour obtenir des conseils.

Qu’en est-il des clés d’accès ? anchor link

Les clés d'accès sont une option de connexion plus récente qui offre toute la sécurité du 2FA, avec beaucoup moins de tracas. Un mot de passe est constitué d'environ 100 à 1 400 octets de données aléatoires, générées sur votre appareil (comme votre téléphone, votre ordinateur portable ou votre clé de sécurité) dans le but de vous connecter à un site Web spécifique. Ce n'est ni un mot de passe ni un 2FA, mais peut remplacer fonctionnellement les deux.

Au lieu de vous demander de saisir votre mot de passe et un code, les clés d'accès intègrent un deuxième facteur. Chaque fois que vous utilisez le mot de passe pour vous connecter, votre navigateur ou votre système d'exploitation peut vous demander de saisir à nouveau le code PIN de déverrouillage de votre appareil. Si vous utilisez une empreinte digitale ou une reconnaissance faciale pour déverrouiller votre appareil, votre navigateur peut vous demander de saisir à nouveau votre empreinte digitale ou de montrer votre visage, pour confirmer que c'est bien vous qui demandez à vous connecter. Cela donne deux facteurs d'authentification : l'appareil qui stocke votre mot de passe est quelque chose que vous possédez, et il est accompagné de quelque chose que vous connaissez (le code PIN) ou de quelque chose que vous êtes (une empreinte digitale ou un visage).

Si vous utilisez déjà 2FA sur un site donné, un mot de passe sera beaucoup plus pratique et peut-être plus sécurisé. Les méthodes 2FA par SMS ou application d'authentification sont vulnérables aux attaques de phishing, car un faux site peut vous demander le code à usage unique et le transmettre au vrai site avec votre mot de passe hameçonné. Les clés d’accès sont plus sécurisées que les SMS ou l’application d’authentification 2FA car elles ne sont pas vulnérables au phishing. Votre navigateur sait exactement quel site est associé à quel mot de passe et ne se laisse pas tromper par de faux sites Web.

Comment activer 2FA ? anchor link

Remarque : si vous n'avez pas encore configuré de gestionnaire de mots de passe et commencé à utiliser des mots de passe uniques pour chaque site, faites-le d'abord. L’utilisation de mots de passe uniques pour chaque site aide énormément en soi.

L’activation de 2FA diffère d’une plateforme à l’autre, tout comme la terminologie utilisée. Une liste complète des sites prenant en charge 2FA est disponible sur https://2fa.directory/. Le plan de sécurité de chacun a des besoins différents, et tous les sites Web ne vous proposeront même pas des options pour différentes formes de 2FA, mais lorsque vous avez le luxe de choisir, pensez à chaque type de 2FA dans cet ordre :

• Les clés d'accès sont solides et faciles à utiliser (lorsqu'elles fonctionnent correctement), mais il s'agit toujours d'une nouvelle technologie qui n'est pas toujours proposée et qui peut provoquer des problèmes dans le processus de connexion lorsqu'ils ne sont pas correctement mis en œuvre, ce qui est frustrant à résoudre.
• Les clés de sécurité sont très puissantes mais peuvent être ennuyeuses à utiliser puisque vous devez toujours avoir cette clé physique avec vous.
• L'authentification basée sur les notifications push offre une sécurité moyenne et est facile à utiliser, mais n'est disponible que pour un petit nombre de services Web, et comme elle n'est pas standardisée, cela peut signifier que vous vous retrouverez avec un tas d'applications d'authentification différentes sur votre téléphone.
• L'authentification par application Authenticator/TOTP est très courante de nos jours et offre un niveau de sécurité moyen, mais il peut être ennuyeux de copier/coller des codes entre applications, en particulier sur les appareils mobiles.
• Les SMS offrent le niveau de sécurité le plus bas, peuvent être ennuyeux à utiliser dans certaines circonstances (voire impossible si vous ne disposez pas d'un service mobile), mais c'est toujours mieux que rien si c'est la seule option proposée.

Une fois que vous aurez parcouru les paramètres du compte et trouvé l’option permettant d’activer 2FA, vous devrez souvent franchir une étape supplémentaire pour terminer le processus. La façon dont cela fonctionne dépend également du type de 2FA que vous utilisez et du site Web lui-même, mais cela se déroule généralement comme ceci :

• Si vous choisissez d'utiliser un mot de passe, le site créera et stockera un mot de passe sur l'appareil sur lequel vous l'avez créé (comme votre téléphone ou votre ordinateur portable). Vous aurez besoin de cet appareil spécifique à portée de main pour vous connecter avec ce mot de passe, bien que certains gestionnaires de mots de passe synchronisent le mot de passe sur tous les appareils. De nombreux services nécessiteront également que vous ayez un nom d'utilisateur et un mot de passe, vous devrez donc peut-être toujours utiliser une autre forme de 2FA pour le moment.
• Si vous optez pour une clé de sécurité, vous devrez insérer la clé, confirmer que vous souhaitez créer un identifiant (cela dépend de la clé elle-même, mais cela signifie généralement appuyer sur la clé ou appuyer sur un bouton dessus), puis suivez les instructions pour terminer de le lier à votre compte. Notez que certains sites Web nécessitent une deuxième forme de 2FA comme sauvegarde lorsque vous utilisez une clé de sécurité, vous devrez donc peut-être la configurer en premier.
• Si vous utilisez une application d'authentification mobile, vous devrez scanner un code QR sur l'écran de votre ordinateur avec votre téléphone. Après cela, votre téléphone commencera à générer des codes rotatifs et vous devrez saisir l'un de ces codes pour prouver que vous avez terminé ce processus avec succès.
• Si vous activez les SMS, vous recevrez un code que vous devrez ensuite saisir pour terminer le processus d'activation de 2FA.

Le processus d’activation de 2FA peut être intimidant au début, mais vous pouvez vous faciliter la tâche en le divisant en projets plus petits.

Commencez par vos comptes de messagerie. Étant donné que la plupart des services permettent la réinitialisation du mot de passe par courrier électronique, toute personne qui reprend votre adresse peut réinitialiser le mot de passe pour accéder à d'autres services. C'est donc le service le plus important à sécuriser en premier. Ensuite, configurez-le pour tous les services qui sauvegardent vos fichiers, comme un compte Apple, Google ou Microsoft. Après cela, les réseaux sociaux et les applications de communication devraient être la prochaine priorité à sécuriser. À partir de là, vous pouvez parcourir la liste sur le site de l’annuaire 2FA pour rechercher les sites Web que vous utilisez.